alphaspirit - Fotolia

Communiquer une faille de bonne foi devient un peu plus sûr

Les personnes qui découvrent une vulnérabilité sans l’exploiter peuvent l’indiquer à l’Anssi. Celle-ci s’engage à garder le silence.

La loi pour une République numérique du 7 octobre vient d’être promulguée. Et elle contient un pas en avant pour les découvreurs de vulnérabilités et autres failles. Un pas que certains esprits chagrins diront modeste.

De fait, son article 47 dispose que « l’obligation prévue à l’article 40 du code de procédure pénale n’est pas applicable à l’égard d’une personne de bonne foi qui transmet à la seule autorité nationale de sécurité des systèmes d’information une information sur l’existence d’une vulnérabilité concernant la sécurité d’un système de traitement automatisé des données ». Pas question donc, pour l’Anssi de dénoncer le découvreur.

Dans un communiqué, l’agence s’engage à « préserver la confidentialité de l’identité » du découvreur et à ne pas réaliser de publicité de la trouvaille. Pour profiter cette protection, il convient « d’adresser un message à l’Anssi (cert-fr.cossi[at]ssi.gouv.fr) en transmettant tous les éléments permettant à l’agence de procéder aux opérations techniques pour caractériser les risques ou menaces et prévenir l’hébergeur, l’opérateur ou le responsable du système d’information » concerné. 

A l’occasion de son allocution en ouverture des Assises de la Sécurité, la semaine dernière à Monaco, Guillaume Poupard, patron de l’Anssi, n’avait pas caché sa satisfaction à l’idée d’offrir une telle solution à « ceux qui ‘voient’ des problèmes, et qui ont peur de le dire et d’être traînés en justice ». Et de présenter ces nouvelles dispositions comme un « compromis » issu de « beaucoup » de discussions. « Je pense que ça va fonctionner », avait-il ajouté. 

Mais voilà, comme le souligne notre confrère Marc Rees dans les colonnes de Next Inpact, « rien n’empêchera la prétendue victime, le responsable du système informatique poreux, de porter plainte contre l’intrus et même d’obtenir sa condamnation ». A Plusieurs occasions, des députés ont tenté d’apporter une protection plus complète aux découvreurs de failles et autres vulnérabilités. En vain.

On relèvera en outre que l’Anssi ne précise pas sur quels dispositifs techniques et processus elle s’appuie pour effectivement garantir la confidentialité de l’identité des découvreurs. 

Pour approfondir sur Réglementations et Souveraineté